ჩრდილოკორეელი ჰაკერები სამსახურის მაძიებლებს ახალი კომპიუტერული ვირუსით უმიზნებენ

ჩრდილოეთ კორეასთან დაკავშირებულმა ჰაკერთა ჯგუფ Lazarus Group-მა გამოუშვა ახალი დისტანციური წვდომის ტროას ვირუსი სახელწოდება Kaolin RAT, რომლის მთავარი სამიზნეც ინტერნეტში სამსახურის მაძიებლები არიან.

Avast-ის უსაფრთხოების მკვლევარის, ლუიჯინო კამასტრას მიერ გასულ კვირას გამოქვეყნებული მოხსენების თანახმად, ვირუსს აქვს შესაძლებლობა, „გარდა სტანდარტული RAT ფუნქციისა, შეცვალოს შერჩეული ფაილის ბოლო ჩაწერის დრო და ჩატვირთოს ნებისმიერი მიღებული DLL binary [command-and-control] სერვერი."

appid.sys დრაივერში ახლად დაყენებული ადმინისტრაციული ბირთვის დაუცველობის გამოყენებით (CVE-2024-21338, CVSS ქულა: 7.8), rootkit FudModule მიწოდებულია RAT-ის მეშვეობით. ეს საშუალებას აძლევს მას მიიღოს ოპერატიული მეხსიერების ბირთვის წაკითხვის უფლება და საბოლოოდ გამორთოს უსაფრთხოების დაცვა.

ეს პირველი წვდომა ატყუებს მსხვერპლს და ხსნის მავნე ოპტიკური დისკის გამოსახულების (ISO) ფაილს, რომელიც შეიცავს სამ ფაილს, რომელთაგან ერთი წარმოადგენს Amazon VNC კლიენტს ("AmazonVNC.exe"), მაგრამ რეალურად არის ნამდვილი Windows პროგრამის რებრენდირებული ასლი.

გარდა ამისა, მავნე პროგრამას შეუძლია შეასრულოს ფაილური ოპერაციები, ატვირთოს ფაილები C2 სერვერზე, შეცვალოს ფაილის ბოლო შეცვლილი თარიღი, ჩამოთვალოს, შექმნას და დაასრულოს პროცესები, აწარმოოს ბრძანებები cmd.exe-ით, ჩამოტვირთოს DLL ფაილები C2 სერვერიდან. და დაამყარეთ კავშირი ნებისმიერ ჰოსტთან.

„ლაზარუსის ჯგუფი მიზნად ისახავდა ინდივიდებს შეთითხნილი სამუშაო შეთავაზებების საშუალებით და გამოიყენა დახვეწილი ხელსაწყოები, რათა მიაღწიოს უკეთეს გამძლეობას უსაფრთხოების პროდუქტების გვერდის ავლით“, - თქვა კამასტრამ.

წყარო: The Hacker News